Bootstrap

网络安全面试过程中经常被问到的应急响应问题

《网安面试指南》icon-default.png?t=O83Ahttp://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484339&idx=1&sn=356300f169de74e7a778b04bfbbbd0ab&chksm=c0e47aeff793f3f9a5f7abcfa57695e8944e52bca2de2c7a3eb1aecb3c1e6b9cb6abe509d51f&scene=21#wechat_redirect

《Java代码审计》icon-default.png?t=O83Ahttp://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484219&idx=1&sn=73564e316a4c9794019f15dd6b3ba9f6&chksm=c0e47a67f793f371e9f6a4fbc06e7929cb1480b7320fae34c32563307df3a28aca49d1a4addd&scene=21#wechat_redirect

《Web安全》icon-default.png?t=O83Ahttp://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484238&idx=1&sn=ca66551c31e37b8d726f151265fc9211&chksm=c0e47a12f793f3049fefde6e9ebe9ec4e2c7626b8594511bd314783719c216bd9929962a71e6&scene=21#wechat_redirect

先启用运维应急预案,保证业务稳定运行 系统稳定(网络、系统文件、启动项、库、内存) 经验是不可替代的 以事件关联思维思考安全事故 所有操作必须有记录和时间。

1. 部署安全系统

  • 所有主机时钟同步

  • 服务器监控系统

  • 系统日志系统

  • NIPS、WAF、HIDS

  • 蜜罐

  • 主机加固

  • 数据库审计

  • NTA流量可视化

  • 代码密钥泄露扫描

  • 堡垒机

  • 漏洞预警平台

  • SIEM

2. 收到入侵告警

  • 安骑士

  • 蜜罐

  • NIDS

  • DNS日志

  • 外联域名

  • 数据库审计系统

  • 大量拖库日志

  • 服务器崩溃或重启

  • 客服接到黑客信息

  • 服务器响应速度太慢

  • 非工作时间链接服务器

  • 异常网络流量,比如ping或扫描操作;

  • 一批服务器被远程外联

  • 文件完整性报警

  • 客户数据流失

  • 服务器发现文件被加密

3. 信息收集

  • 对业务有什么影响

  • 被入侵项目名称

  • 大体架构

  • 报警信息

  • 受害主机数量

  • 黑客域名、IP

  • 安全系统的日志

  • 木马样本

  • 服务器是否能出网

  • 是否统一管理入口(堡垒机)

  • 对外开放端口

  • 黑客所有行为记录

  • 操作系统版本

  • 补丁情况

4. 入侵分析

  • 情报威胁平台查看URL、病毒文件、IP、域名

  • 定位黑客肉机,或第一入侵点

  • 服务器外联哪个地址,黑客IP

  • 分析入侵点,哪台机器最先被渗透

  • 通过蜜罐看攻击源

  • 查看所有安全设备的日志,定位攻击面

  • 是否是办公网机器执行的操作

  • 通过服务器所属组,是否云账号泄露

  • 病毒分析

  • 所有可能受攻击机器

  • 预加载库配置文件是否被修改

  • 动态链接库配置文件是否被修改

  • 查看系统启动项

  • 使用公司知识库参考以往类似案例

5. 安全事故类型

  • 被远控

  • 木马植入

  • 留后门

  • CPU飙高

  • 异常流量

  • rootkit

  • 挖矿

  • 勒索病毒

  • sql拖库

  • web渗透

  • 留黑页,网页挂马

  • webshell

  • 云账号泄露

  • 监守自盗

  • 爆破

  • 账密泄露

  • 办公网被入侵

  • 网络攻击

  • 劫持

  • 查看所有应用的爆破日志和登录日志,比如ssh和mysql,dns;

  • 杀死恶意进程

  • 查看动态链接库后门

6. 快速应急方案

  • 把黑客IP加入黑名单,直接给DD死,把应用切换走

  • 禁止主动出网,阻断黑客远控行为

  • 查对外的端口,如果有高危漏洞应用就加白名单

  • 删除木马文件,杀死进程,如果rootkit就服务器下线

  • 找到还能出网机器重点做安全加固

  • 深度安全检测,不重要服务器直接下线

  • 不允许直接访问服务器,防止正向shell,用代理即可

  • 把黑客IP加入黑名单

  • 查对外的端口,如果有高危漏洞应用就加白名单

  • 禁止主动出网,阻断黑客远控行为

  • 机器直接下线

  • 看公开漏洞就行了,redis、mongodb、MySQL等

  • 不允许直接访问服务器,防止正向shell,用代理即可

  • 把黑客IP加入黑名单

  • 在加一层云waf,只启用owasp防御功能

  • 开发修改接口

  • 给接口添加验证码做人机识别

  • ip每分钟限制访问10次同一接口

  • 通过ngingx日志找到有漏洞的接口

  • 查服务器上是否有木马和webshell

  • 1. 找到日志,看哪台机器产生的,把关键字找到

  • 2. 去到文件里,确认真的被注入webshell,有很多是黑客的扫描日志

  • 3. 立刻删除,去看从哪个接口进来的,根据webshell内容作为关键字全盘搜索,尤其是Java 日志

  • 4. 找所有nginx 日志,找到这个请求接口,用ack命令,比grep 还好用

  • 5. 确定具体的接口,让开发去修改过滤

  • 立即修改云账号,修改密钥,云平台远程桌面做一次远程连接,第二次就需要手机号验证了,敏感操作和登录启用手机验证码,不要在电脑上用验证码。 

  • 把黑客IP加入黑名单

  • 办公电脑断网,重做系统

  • 查堡垒机所有日志

  • 查服务器后门

  • 所有服务器深度安全检测

  • 禁止主动出网,阻断黑客远控行为

  • 更换全部密码和密钥和token

  • ip每分钟限制访问10次同一接口

  • 挂一个云waf,只启用owasp防御功能

  • 给接口添加验证码做人机识别

  • 加个云锁,做频率限制,iptables也行

  • 做白名单

  • 改个复杂密码或改成密钥

  • 把黑客IP加入黑名单

  • 禁止主动出网,阻断黑客远控行为

  • 不允许直接访问服务器,防止正向shell,用代理即可

  • 修改密码或密钥

  • 深度安全检测

  • 找到代码泄露人和泄露途径,全部改一遍

  • 把黑客IP加入黑名单

  • 把办公网IP全部不是白名单,只用VPN为白名单

  • 不用的机器或下班后,机器全部关机,重做系统

  • 密码全部修改或添加二次验证,手机作为验证码

  • 给IP做限速

  • 加CDN,比如cloudflare

  • 加https

  • 修复百度快照劫持服务器的漏洞

  • HTTPDNS

  • 查看前端js代码,oss,清cdn缓存,前端代码服务器;

  1. 定义后查看动态链接库的方式(动态链接库在/usr/lib64):echo $PATH echo $LD_PRELOAD cat /etc/ld.so.preload ls /etc/ld.so.conf.d / cat /etc/ld.so.conf 用starce命令检查下系统命令:strace -f -e trace=file /bin/ls

  2. 中动态链接库木马的现象:使用普通命令得到的结果,和使用busybox的结果不同;有些命令用stat查看,时间被修改了;ldd elf文件名(如果正常系统没这个库就是木马了)

  3. 修复方法:./busybox lsattr -ia /etc/ld.so.preload ./busybox chattr -ia /etc/ld.so.preload ./busybox rm -rf/etc/ld.so.preload /lib/cub3.so

7. 应急收尾工作

  • 木马及后门清除

  • 弱密码扫描

  • 清除预加载库

  • 溯源

  • 安全事故报告

  • 打补丁

  • 渗透测试

  • 通过NIDS找到异常流量主机,定位入侵点

  • 安全加固

  • 清除报警,取消噪音

  • 看堡垒机日志,看是不是自己人的操作

  • 通过日志找web漏洞渗透接口

  • 分析黑客渗透思维,以他的思维思考一边

  • 查看内网是否被渗透

  • 最后前端要做加签,和js 加密和请求参数加密,后端验签就够了

8. 永久解决方案

  • 不影响其他项目

  • 不影响其他网段

  • 应用迁移

  • 打补丁

  • 机房ip不允许直接对外开放,可加一层代理

  • 内外网防火墙策略和安装安骑士

  • 找到重要机器,重点做防御

9. 给出安全建议

  • 最小化原则

  • 是否统一管理入口(堡垒机)

  • 渗透测试

  • 非工作时间禁止连接办公电脑和服务器

  • 有必须上外网机器,可以用代理或者临时关闭防火墙就行

  • 所有机器可以快速迁移

  • 持续跟踪检测类似报警

  • 日志统一放服务器上,防止黑客清理痕迹

  • 安全意识培训

;